返回首页
dns放大攻击该如何防御?
2017-04-05

随着互联网的发展,其原始基础技术的大部分预计将保持,但它们并不是为人们所期望的而设计的。这个巨大的全球基础设施的关键要素之一是域名系统(dns),以便人们可以访问他们所需的网站,而不必记住组成其IP地址的数字串。dns已经成为几乎每个应用程序和网站上的网关。然而,dns也成为网站的致命软肋,五花八门的攻击随之而来,其中有一种被叫做dns放大攻击

 

或许很多人都不了解dns放大攻击,其实它是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。这种虚假通讯的数量大到惊人,每秒高达数GB,足以阻止任何人进入互联网。


这与老式的“smurf attacks”攻击非常相似,dns放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽。但是,“smurf attacks”攻击是向一个网络广播地址发送数据包以达到放大通讯的目的。dns放大攻击不包括广播地址。相反,这种攻击向互联网上的一系列无辜的第三方dns服务器发送小的和欺骗性的询问信息。这些dns服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯量的放大并且最终把攻击目标淹没。

 

如何防御这种dns放大攻击呢?首先,保证你拥有足够的带宽承受小规模的洪水般的攻击。一个单一的T1线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉你的带宽。如果你的连接不是执行重要任务的,一条T1线路就够了。否则,你就需要更多的带宽以便承受小规模的洪水般的攻击。不过,几乎任何人都无法承受每秒钟数GB的DNS放大攻击

 

因此,需要保证手边有能够与你的ISP随时取得联系的应急电话号码。这样,一旦发生dns放大攻击,你可以马上与ISP联系,让他们在上游过滤掉这种攻击。要识别这种攻击,你要查看包含DNS回复的大量通讯,特别是要查看那些拥有大量DNS记录的端口。一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。这样,你的ISP很可能在你发现这种攻击之前就发现和避免了这种攻击。

点击这里给我发消息